In deze blog van de reeks Groeipijn staan we sitl bij een onderwerp waar groeiende ondernemingen vroeg of laat mee te maken krijgen: IT. In de startfase van je onderneming kies je vaak voor software die doet wat nodig is en niet al te veel kost. Naarmate je onderneming groeit, wordt de software die je gebruikt steeds belangrijker. Je bedrijfsprocessen draaien erop en zonder je data kun je je producten en/of diensten vaak niet aanbieden.
Vanaf dat moment is IT niet langer alleen een praktische keuze, maar ook een juridisch en strategisch aandachtspunt. Je onderneming wordt namelijk kwetsbaar als continuïteit, afhankelijkheden en data niet goed zijn geregeld. Goede afspraken met je IT-leverancier(s) helpen je om risico’s beheersbaar te houden. In deze blog gaan we in op de belangrijkste juridische aandachtspunten op IT-gebied voor groeiende ondernemingen.
Medio april 2026 sluiten we de reeks feestelijk af met een inspirerend event op ons kantoor in Utrecht. Volg onze blogs en meld je nu alvast aan voor ons event.
Waarom goede IT-afspraken vooraf belangrijk zijn
Het belang van goede IT-afspraken wordt vaak pas zichtbaar wanneer het misgaat. Denk aan een storing of een datalek, het niet halen van afgesproken serviceniveaus, onverwachte prijsverhogingen of aanpassingen in functionaliteiten die van belang zijn voor jouw organisatie. Op dat moment blijkt vaak dat overstappen naar een andere leverancier juridisch en praktisch lastig is. Niet alleen vanwege het feit dat contracten langdurig zijn of stilzwijgend verlengd worden, maar ook omdat de exit vaak niet of onvoldoende is geregeld. In de praktijk blijven partijen dan langer dan wenselijk aan elkaar verbonden, met alle frustratie en risico’s van dien.
Het is om die reden van groot belang om vooraf al stil te staan bij kwetsbaarheden en deze te mitigeren.
Hoe beperk je uitvalrisico's?
Om de kans op langdurige verstoring te verkleinen, is het belangrijk om goede (SLA-)afspraken te maken over wat de IT-leverancier levert en hoe snel hij moet handelen bij incidenten. Algemene bepalingen over “redelijke inspanningen” zijn meestal onvoldoende. Als jouw bedrijfsvoering wordt verstoord door softwareproblemen, wil je dat er duidelijke en afdwingbare afspraken zijn over beschikbaarheid en ondersteuning. Hoe hoog is de afgesproken beschikbaarheid, welke responstijden gelden bij incidenten, hoe wordt geëscaleerd en binnen welke termijnen moeten storingen zijn opgelost?
Dergelijke afspraken worden doorgaans vastgelegd in een Service Level Agreement (SLA), vaak als bijlage bij de hoofdovereenkomst. Een SLA is in de praktijk het instrument om afhankelijkheid beheersbaar te maken en om te zorgen dat je leverancier ook daadwerkelijk levert wat voor jouw onderneming noodzakelijk is.
💡 Praktijktip: Leg niet alleen vast wat de uptime moet zijn, maar ook wat er gebeurt als de leverancier die niet haalt.
In sommige situaties is het daarnaast verstandig om stil te staan bij continuïteit als het bij de leverancier echt misgaat, bijvoorbeeld bij een faillissement. Dan kan een escrowregeling helpen om te voorkomen dat je onderneming tot stilstand komt doordat je geen toegang meer hebt tot de broncode.
💡 Praktijktip: Escrow is vooral relevant bij maatwerksoftware of bedrijfskritische software waarvoor je geen reëel alternatief hebt. Zorg dat niet alleen de broncode, maar ook de bijbehorende documentatie onder de regeling vallen. Leg ook vast wanneer je de escrow mag opeisen.
Hoe regel je een soepele exit en overstap naar een andere IT-leverancier?
Een ander onderwerp dat in veel IT-contracten onderschat wordt, is de beëindiging ervan en de overgang naar een andere leverancier. Juist bij groei kan het gebeuren dat je IT-leverancier niet langer bij je onderneming past. Bijvoorbeeld omdat je groter bent geworden of je behoefte hebt aan andere functionaliteiten die de IT-leverancier niet kan bieden.
Een goede overeenkomst geeft daarom duidelijkheid over hoe en wanneer partijen uit elkaar kunnen. Ook wil je vastleggen hoe data wordt teruggeleverd, in welk formaat dat gebeurt, hoe lang gegevens beschikbaar blijven en of de leverancier ondersteuning moet bieden bij migratie. Bovendien is het verstandig om afspraken te maken over back-ups en herstel. Dit soort exit-afspraken kunnen onderdeel zijn van de SaaS-overeenkomst, de raamovereenkomst of een aparte exitregeling.
💡 Praktijktip: Regel exit vooraf en zo concreet mogelijk. Spreek af in welk formaat data wordt geëxporteerd, binnen welke termijn en tegen welke voorwaarden. Leg ook vast of de leverancier ondersteuning moet bieden en wat daarvan de kosten zijn.
Bovendien is het – uiteraard – verstandig om aandacht te besteden aan contractduur, opzegtermijnen en (stilzwijgende) verlengingsmogelijkheden. In de praktijk zitten ondernemingen regelmatig langer vast dan bedoeld, simpelweg omdat een contract automatisch wordt verlengd of omdat het opzegmoment is gemist. Juist bij groei wil je voldoende flexibiliteit om bij te sturen als een IT-leverancier niet meer past bij je organisatie.
Hoe borg je privacy en cybersecurity in je IT-contracten?
Voor ondernemingen die werken met persoonsgegevens is privacy een thema dat extra aandacht behoeft. Als jouw IT-leverancier voor jou persoonsgegevens verwerkt als verwerker, dan is een verwerkersovereenkomst verplicht. In de praktijk wordt dit vaak enkel gezien als een “compliance-document”. Dat is een gemiste kans, want juist daarin kun je afspraken maken die risico’s beheersbaar maken.
Het is raadzaam om in deze overeenkomst stil te staan bij de manier waarop wordt omgegaan met datalekken, waar de data wordt opgeslagen en bij andere onderwerpen die de AVG voorschrijft. Zo kun je bijvoorbeeld vastleggen dat de verwerker verplicht is om onderzoek te doen naar de oorzaak van een datalek en hierover te rapporteren. Dat is niet alleen relevant vanuit AVG-perspectief, maar kan ook van belang zijn bij aansprakelijkheidsvraagstukken en eventuele claims richting de IT-leverancier.
💡 Praktijktip: Controleer altijd of je inzicht hebt in subverwerkers, waar data wordt opgeslagen en welke termijnen gelden voor datalekmeldingen.
Daarnaast wordt cybersecurity de komende periode steeds vaker contractueel afgedwongen, mede door de (aanstaande) implementatie van de Europese NIS2-richtlijn in Nederland. Ook ondernemingen die niet direct onder NIS2 vallen, krijgen hiermee te maken doordat klanten en ketenpartners strengere eisen gaan stellen aan beveiliging, incidentafhandeling en rapportages. Het is daarom verstandig om bij het afnemen van software niet alleen naar privacy maar ook naar concrete afspraken over beveiliging te kijken.
Aansprakelijkheid en wijzigingsbedingen: voorkom onaangename verrassingen
Veel IT-contracten en algemene voorwaarden bevatten vergaande beperkingen van aansprakelijkheid, soms tot slechts enkele maanden vergoeding. Dat is iets om serieus rekening mee te houden, want als je niet kunt leveren aan klanten kan de schade snel oplopen, net als de schade die klanten daardoor lijden.
Ook prijswijzigingen die door de IT-leverancier kunnen worden doorgevoerd, zijn klassieke pijnpunten. In de groeifase is het daarom verstandig om in je SaaS-overeenkomst, licentieovereenkomst of IT-dienstverleningsovereenkomst goed te laten vastleggen hoe wijzigingen plaatsvinden, welke termijnen gelden, en welke mogelijkheden je hebt om op te zeggen of opnieuw te onderhandelen als wijzigingen wezenlijk zijn.
💡 Praktijktip: Kijk kritisch of de aansprakelijkheidsafspraken passen bij jouw afhankelijkheid.
Maatwerksoftware: van wie is de broncode?
Veel groeiende ondernemingen laten software op maat ontwikkelen. Vaak gebeurt dit via een overeenkomst van opdracht of een software development agreement met een softwareontwikkelaar.
Daarbij is één vraag essentieel: Wie is eigenaar van de ontwikkelde software, oftewel wie is de rechthebbende tot de intellectuele eigendomsrechten op de software? Zonder duidelijke afspraken blijft het auteursrecht op maatwerksoftware in beginsel bij de maker, oftewel de ontwikkelaar. Dat kan betekenen dat je niet vrij kunt doorontwikkelen of afhankelijk blijft van dezelfde partij. In dit soort contracten is het daarom belangrijk om stil te staan bij de vraag of er sprake is van overdracht van auteursrechten of dat tussen partijen juist een licentie wordt overeengekomen, en zo ja, welke rechten partijen hebben met betrekking tot de broncode.
💡 Praktijktip: Leg expliciet vast of het auteursrecht wordt overgedragen of dat je een (voldoende ruime) licentie krijgt om door te ontwikkelen.
Voor kernpunten afspraken maekn
Kortom, uiteindelijk draait het in een groeifase met betrekking tot IT steeds om het mitigeren van risico’s. Denk aan controle houden over continuïteit en ervoor zorgen dat je niet vastzit in afspraken die groei beperken. IT-recht helpt je om dat te organiseren. Niet door alles juridisch dicht te timmeren, maar door op de kernpunten duidelijke afspraken te maken. Wie dit goed en tijdig doet, voorkomt dat IT een rem wordt op groei.
Meer weten?
Wil je sparren over jouw IT-afspraken of wil je bestaande overeenkomsten laten beoordelen? Neem dan contact op met een van onze specialisten in het ICT-recht. Wij helpen graag met onder meer het opstellen of beoordelen van SaaS-overeenkomsten, SLA’s, verwerkersovereenkomsten, licentieovereenkomsten, IT-dienstverleningsovereenkomsten, (inkoop) algemene voorwaarden en contracten voor maatwerksoftware (zoals een overeenkomst van opdracht of development agreement).
Deze blog is onderdeel van de 'Groeipijn!'-reeks en is geschreven door Yaşar Bayram. Onze andere blogs lees je hier.
Vera Rhebergen-Vaags
Loes Vink